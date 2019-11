De gemiddelde Nederlander maakt een behoorlijk potje van zijn of haar wachtwoorden. Meer dan de helft gebruikt bijvoorbeeld hetzelfde wachtwoord voor meerdere online diensten. En in meer dan de helft van de gevallen is dat wachtwoord ook nog eens veel te simpel. Bovendien zijn mensen geneigd zo'n wachtwoord zo min mogelijk te veranderen. Dat maakt het voor 'hackers' wel heel erg makkelijk. Als je een wachtwoord simpelweg kunt raden (even checken op sociale media: wat is de naam van de hond?) is hacken zelfs niet eens meer nodig.

Als je eenmaal een wachtwoord van een gebruiker in handen hebt, heb je in feite als hacker in een vloek en een zucht de hele eerste verdedigingslinie van een bedrijf aan de kant geschoven. Volgens Verizon verloopt 81% van alle digitale inbraken via deze route. Geen wonder dus dat security specialisten en IT-professionals nogal over de rooie raken als ze zien hoe slordig 'gewone mensen' met hun wachtwoord omspringen. Maar kun je het ze werkelijk kwalijk nemen?

Hoeveel wachtwoorden gebruik je eigenlijk? 10? 20? 50? De schattingen lopen sterk uiteen, maar cijfers van LastPass zijn een goede indicatie. Dat bedrijf levert, net als bijvoorbeeld Keeper, Dashlane, Enpass en nog een hele reeks andere alternatieven, een eenvoudige oplossing om al je wachtwoorden in één centrale database op te slaan, zodat je nog maar één wachtwoord hoeft te onthouden om al je apps en websites te ontsluiten. LastPass stelt dat de gemiddelde werknemer maar liefst 191 wachtwoorden opslaat in hun oplossing.

Dat lijkt veel, maar grotere organisaties hebben al snel vele honderden applicaties in gebruik. Geen wonder dat mensen naar oplossingen zoeken om de toegang tot al die apps onder controle te houden. Wachtwoordmanagers doen dat best aardig, maar zijn ook niet ideaal: in de praktijk blijken ze niet altijd met iedere app te werken, niet iedereen vindt ze even gebruiksvriendelijk, en je verstopt wel je hele hebben en houden achter één wachtwoord, dus dat moet dan een heel ingewikkelde zijn die je regelmatig verandert, anders loop je alsnog een serieus risico. En ze zijn niet onfeilbaar: tegen keyloggers bijvoorbeeld zijn ze niet bestand.

Eigenlijk is het hele idee van een wachtwoord gewoon achterhaald. Het is niet praktisch en het zadelt eindgebruikers op met een verantwoordelijkheid waar ze niet op zitten te wachten, en waar ze kennelijk ook niet goed mee om kunnen gaan. Uit een enquête, die we onlangs onder 533 Nederlandse eindgebruikers hebben gehouden, blijkt dat mensen zelf denken dat ze wekelijks ruim 16% meer werk zouden kunnen verrichten als IT ze wat minder in de weg zou zitten.

Gelukkig groeit inmiddels de aandacht voor gebruiksvriendelijke maar veilige alternatieven, die het probleem van de wachtwoorden definitief kunnen oplossen. FIDO2 bijvoorbeeld is een set specificaties waarmee organisaties hun eindgebruikers een single sign-on oplossing kunnen bieden zonder dat ze ooit nog een wachtwoord hoeven te onthouden. Steeds meer grote leveranciers zorgen dat hun oplossingen ermee overweg kunnen, van Citrix en Microsoft Azure Active Directory (AAD) tot Google en Mozilla. FIDO2 is geschikt voor allerlei (multifactor) oplossingen, zoals biometrie of fysieke sleutels die je als gebruiker simpelweg in een USB-poort steekt om overal direct aan het werk te kunnen.

Beveiliging mag gerust enige aandacht vragen - maar het mag het werk waarvoor je bent aangenomen niet in de weg zitten. Veilig inloggen zou net zo simpel moeten zijn als 's ochtends de deur opendoen met de sleutel van kantoor, of de slagboom openen met je bedrijfspas. Als we daar nou allemaal eens serieus naar gaan kijken, kunnen we binnenkort onze wachtwoorden voorgoed gedag zeggen. Dan zijn we een hoop frustratie kwijt, terwijl we er een stuk veiliger van worden. Laten we hopen dat de 'Nationale Check Je Wachtwoorden Dag' binnenkort net zo gedateerd klinkt als de beeldbuis, de draaischijf en de typemachine.